走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

摘要

漏洞利用工具包(EXP)一直是传播犯罪软件的重要工具。俗话说知己知彼百战百胜,作为安全研究者,我们必须要完全的了解和分析他们。本文将介绍两款最新的流行工具包——Archie和Astrum。

Archie工具包

Archie工具包在8月已经被人介绍过,因为它使用的都是来自msf的exp模块,当时是把它当作一款很基本的exp工具包。
我们对Archie中所用到的exp进行检测,发现这款工具包第一次出现是在7月的第一周。然后就一直很活跃。

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

7月份开始,Archie工具包有了针对CVE-2014-0515 (Flash漏洞)的流量,之后几个月我们发现了针对CVE-2014-0497 (Flash), CVE-2013-0074 (Silverlight)和CVE-2013-2551 (Internet Explorer)的漏洞利用。到了11月,Kafeine在工具包中发现了新的Flash漏洞CVE-2014-0569和IE漏洞CVE-2014-6332

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

我们的反病毒软件把Archie工具包所使用的EXP检测为:

  •  Exploit:HTML/CVE-2013-2551.B   •  Exploit:JS/ArchieEK.A   •  Exploit:JS/ArchieEK.B   •  Exploit:MSIL/CVE-2013-0074.E   •  Exploit:SWF/CVE-2014-0515.C   •  Exploit:SWF/CVE-2014-0569.A   •  Exploit:SWF/Salama.D

革新

像其他exp工具包一样,这款工具包在几个月内出现了很大的变化,不仅是支持的漏洞增多了,着陆页也有了变化。早期的着陆页直接使用类似"pluginDet.js" 和"payload"这样的文件名和变量名。

以下是一段早期着陆页的代码:

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

然而,11月的时候,我们发现了些新的着陆页的样本,这些样本经过混淆,样本使用随机的字符串而非简单的描述性的变量名。下图就是一段新着陆页的代码。

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

它还会检查有没有新的反病毒软件和VMware文件:

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

F-Secure把这些着陆页检测为Exploit:JS/ArchieEK.A和Exploit:JS/ArchieEK.B。

URL规则
Archie的URL规则很简单,使用了描述性的文件名:

  •  http://144. 76.36.67/flashhigh.swf   •  http://144. 76.36.67/flashlow.swf   •  http://144. 76.36.67/ie8910.html   •  http://144. 76.36.67/silverapp1.xap

但是最近,我们发现了一些其他的命名规则————使用SHA256字符串作为文件名:

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8   •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html   •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf   •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

以下是我们找到的恶意软件存放的IP:

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

根据我们的统计,受影响最严重的国家是美国和加拿大。

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

Archie工具包中最常用的payload是Trojan Clicker。F-Secure反病毒软件会将下列哈希值的文件识别出来:

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508   •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl   •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C   •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

Astrum工具包

Astrum漏洞利用工具包又是今年另一款新工具包。最早于9月被Kafeine报道过,著名的欺诈勒索软件Reveton也使用了这个工具包。

漏洞支持
最初,它支持CVE-2014-0515/CVE-2013-0634 (Flash), CVE-2013-0074/CVE-2013-3896 (Silverlight), CVE-2013-2551/CVE-2014-0322 (Internet Explorer)和CVE-2010-0188 (Adobe Reader)。2014年10月,Kafeine注意到Astrum工具包开始利用Flash漏洞CVE-2014-8439了。

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

代码混淆

与Archie不同,Astrum在其着陆页使用了大量的混淆手段。以下的两段着陆页代码实际上是相同的,但后者在代码间加入了大量的垃圾注释和空格进行混淆,以防被检测:

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

Astrum也会分析检查已安装的程序和卡巴斯基的插件:

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

我们的反病毒软件把这些着陆页检测为Exploit:JS/AstrumEK.A和Exploit:JS/AstrumEK.B。
URL规则

Astrum的URL规则如下:

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..   •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..   •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..   •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..   •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..   •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

以下是我们找到的Astrum恶意软件存放的IP:

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

根据我们的统计,这些国家受到Astrum影响:

走近科学:分析漏洞利用工具包(EXP)家族成员Archie和Astrum

Archie和Astrum只是两个新出现的工具包。类似的新工具还有很多:Rig, Null Hole, 和Niteris (CottonCastle),还有些正在不断革新:Angler, Nuclear, Neutrino, FlashEK, Fiesta, SweetOrange等等。
非常值得注意的一点是,这些工具包会检查反病毒文件、VMware文件和其他的分析工具,这已经变得越来越普遍。Nuclear和Angler也会进行检查,避免被病毒研究人员分析。要想了解更多,详见Kafeine的博客

[参考来源F-Secure,译/Sphinx,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)]

漏洞利用工具包(EXP)一直是传播犯罪软件的重要工具。俗话说知己知彼百战百胜,作为安全研究者,我们必须要完全的了解和分析他们。本文将介绍两款最新的流行工具包——Archie和Astrum。

Archie工具包

Archie工具包在8月已经被人介绍过,因为它使用的都是来自msf的exp模块,当时是把它当作一款很基本的exp工具包。
我们对Archie中所用到的exp进行检测,发现这款工具包第一次出现是在7月的第一周。然后就一直很活跃。

7月份开始,Archie工具包有了针对CVE-2014-0515 (Flash漏洞)的流量,之后几个月我们发现了针对CVE-2014-0497 (Flash), CVE-2013-0074 (Silverlight)和CVE-2013-2551 (Internet Explorer)的漏洞利用。到了11月,Kafeine在工具包中发现了新的Flash漏洞CVE-2014-0569和IE漏洞CVE-2014-6332

我们的反病毒软件把Archie工具包所使用的EXP检测为:

  •  Exploit:HTML/CVE-2013-2551.B   •  Exploit:JS/ArchieEK.A   •  Exploit:JS/ArchieEK.B   •  Exploit:MSIL/CVE-2013-0074.E   •  Exploit:SWF/CVE-2014-0515.C   •  Exploit:SWF/CVE-2014-0569.A   •  Exploit:SWF/Salama.D

革新

像其他exp工具包一样,这款工具包在几个月内出现了很大的变化,不仅是支持的漏洞增多了,着陆页也有了变化。早期的着陆页直接使用类似"pluginDet.js" 和"payload"这样的文件名和变量名。

以下是一段早期着陆页的代码:

然而,11月的时候,我们发现了些新的着陆页的样本,这些样本经过混淆,样本使用随机的字符串而非简单的描述性的变量名。下图就是一段新着陆页的代码。

它还会检查有没有新的反病毒软件和VMware文件:

F-Secure把这些着陆页检测为Exploit:JS/ArchieEK.A和Exploit:JS/ArchieEK.B。

URL规则
Archie的URL规则很简单,使用了描述性的文件名:

  •  http://144. 76.36.67/flashhigh.swf   •  http://144. 76.36.67/flashlow.swf   •  http://144. 76.36.67/ie8910.html   •  http://144. 76.36.67/silverapp1.xap

但是最近,我们发现了一些其他的命名规则————使用SHA256字符串作为文件名:

  •  http://31. 184.194.99/0d495794f41827de0f8679412e1823c8   •  http://31. 184.194.99/cd8e0a126d3c528fce042dfb7f0f725055a04712d171ad0f94f94d5173cd90d2.html   •  http://31. 184.194.99/9edcdf010cd9204e740b7661e46c303180e2d674417193cc6cbadc861fdf508a.swf   •  http://31. 184.194.99/e7e8ed993b30ab4d21dd13a6b4dd7367308b8b329fcc9abb47795925b3b8f9d0.swf

以下是我们找到的恶意软件存放的IP:

根据我们的统计,受影响最严重的国家是美国和加拿大。

Archie工具包中最常用的payload是Trojan Clicker。F-Secure反病毒软件会将下列哈希值的文件识别出来:

  •  8b29dc79dfd0bcfb22e8954c65066be508bb1529 - Gen:Variant.Graftor.152508   •  1850a174582c8b1c31dfcbe1ff53ebb67d8bde0d - Gen:Trojan.Heur.PT.fy4@bOYsAwl   •  2150d6762db6ec98e92bb009b3bdacb9a640df04 - Generic.Malware.SFdld!!.8499435C   •  5a89a48fa8ef92d1a4b31ee20f3f630e73c1c6c2 - Generic.Malware.SFdld!!.294B1B47

Astrum工具包

Astrum漏洞利用工具包又是今年另一款新工具包。最早于9月被Kafeine报道过,著名的欺诈勒索软件Reveton也使用了这个工具包。

漏洞支持
最初,它支持CVE-2014-0515/CVE-2013-0634 (Flash), CVE-2013-0074/CVE-2013-3896 (Silverlight), CVE-2013-2551/CVE-2014-0322 (Internet Explorer)和CVE-2010-0188 (Adobe Reader)。2014年10月,Kafeine注意到Astrum工具包开始利用Flash漏洞CVE-2014-8439了。

代码混淆

与Archie不同,Astrum在其着陆页使用了大量的混淆手段。以下的两段着陆页代码实际上是相同的,但后者在代码间加入了大量的垃圾注释和空格进行混淆,以防被检测:

Astrum也会分析检查已安装的程序和卡巴斯基的插件:

我们的反病毒软件把这些着陆页检测为Exploit:JS/AstrumEK.A和Exploit:JS/AstrumEK.B。
URL规则

Astrum的URL规则如下:

  •  http://ad7. […].com.ar/QRtVMKEnSCR8eD9fnxd2SHxwOl7GRXQaKC5kXc4ULxt6IWlcy0omTTI9bg-cDmhPKQ..   •  http://adv2. […].com.ar/Zhc_UrNYeTNRKVVsiDscWV57AGvSbhcJAy5baY0-EA4NLFQ73WETCxUxBG2OcVlYDg..   •  http://pic2. […].net.au/nGtsDdma82ajBwA2t_jOC6FUCjW--MsC-FVZYeOuywn3BgYy4fPIV-9NVTjks9MO8w..   •  http://pic2. […].net.au/nHEeB7017BijH3duhVKAdqJJJDvcVtIh90UvaNdf03ylHSY7gwrQJu9XJzKAHMxw8w..   •  http://cdn-net4. […].net.au/Y9fEaE97uN9d7v0FdRyCs1yy_wopS9zhDO_3CSVI3uAI7KhQI0fV4RDx_1R3Upi0Cg..   •  http://cdn-net8[…].net.au/4xuNWu0qxwyNdLxn0xysbIsg6jPeTq9jjnO5MNsZoWPTcbNqgBL_PJA9tmbVA-dnig..

以下是我们找到的Astrum恶意软件存放的IP:

根据我们的统计,这些国家受到Astrum影响:

Archie和Astrum只是两个新出现的工具包。类似的新工具还有很多:Rig, Null Hole, 和Niteris (CottonCastle),还有些正在不断革新:Angler, Nuclear, Neutrino, FlashEK, Fiesta, SweetOrange等等。
非常值得注意的一点是,这些工具包会检查反病毒文件、VMware文件和其他的分析工具,这已经变得越来越普遍。Nuclear和Angler也会进行检查,避免被病毒研究人员分析。要想了解更多,详见Kafeine的博客

[参考来源F-Secure,译/Sphinx,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)]

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: